Open top menu
Sunday 22 November 2015



Google baru-baru ini mengeluarkan patch untuk perangkat mobile Nexus untuk memperbaiki kerentanan Android Lollipop yang memungkinkan hacker melewati lockscreen dan menguasai perangkat mobile.

Ditambal Android Lockscreen Masih Terancam
Namun, itu bisa memakan waktu berminggu-minggu sampai bulanan untuk produsen dan penyedia layanan untuk menggelar patch untuk perangkat Android lainnya.

Peneliti kenamaan University of Texas John Gordon menemukan kerentanan, dijuluki "CVE-2015-3860," dan diposting rincian dan video yang menunjukkan bagaimana lockscreen dilewati pada perangkat Nexus
"Kerentanan tampaknya hanya hadir di Android Lollipop. Itu ditambal dalam membangun LMY48M dari Android 5.1.1, yang dirilis pekan lalu untuk pengguna Nexus," kata Gordon LinuxInsider.

Skenario Hacker

Lockscreen mempengaruhi kerentanan hanya perangkat yang memiliki kunci sandi aktif mengamankan telepon. Itu jenis kunci mengekspos kolom teks untuk menerima entri data.

Metode penguncian lainnya, seperti pola atau PIN kunci, tidak menyediakan kolom teks. Kebutuhan hack teks disisipkan ke area yang crash lockscreen.

Gordon menemukan bahwa memasuki string panjang teks ke dalam bidang sandi sementara aplikasi kamera aktif akan menyebabkan telepon crash. Ketika itu terjadi, hacker bisa mendapatkan akses ke homescreen perangkat tanpa harus memasukkan password yang benar.

Gordon tidak mendefinisikan tentang seberapa luas kerentanan terjadi, tapi  disebut laporan Reddit dan YouTube mengatakan bahwa fungsi copy / paste hilang pada ponsel non-stock.

"Ini mungkin masih mungkin untuk memasukkan sejumlah besar karakter secara manual atau dengan bantuan sebuah perangkat USB / bluetooth," kata Gordon. "Setidaknya satu komentar di YouTube menyarankan pada Sony Xperia Z3, tapi saya hanya diuji pada perangkat Nexus."

OEM lainnya menggunakan lockscreens dimodifikasi dan aplikasi kamera yang ternyata tidak mengizinkan eksploitasi kerentanan.

Namun, keamanan lockscreen pada umumnya rapuh, disarankan Lysa Myers, seorang peneliti untuk Eset.

"Kerentanan lockscreen terjadi pada semua platform operasi mobile," katanya kepada LinuxInsider.

Proses patch langsung

Betapa besar risiko bagi pengguna perangkat non-Nexus Android?

"Ini adalah ancaman besar. Bahkan ketika pengguna merasa yakin tentang mengunci ponsel mereka dengan password yang kuat, jika perangkat mereka terkena mudah diekspos, itu tidak terlalu penting seberapa kuat password," kata Armando Leon, direktur mobile di LaunchKey.

Masalah utama Android terletak pada kurangnya keseragaman dalam software dan update keamanan. Bahkan ketika Google sudah dirilis memperbaiki, ia datang ke produsen seperti Samsung, Motorola, LG, HTC, antara lain, untuk menambal perangkat mereka yang masih memiliki yang mengeksploitasi, ia mengatakan LinuxInsider.

"Setelah itu, tergantung pada operator ketika perangkat-operator tertentu perlu diperbarui. Secara keseluruhan, itu bisa mengambil beberapa bulan untuk sebagian besar pengguna untuk menerima patch. Beberapa membuka ponsel yang tidak benar-benar terikat dengan carrier bisa mendapatkan patch segera, tapi bahkan yang mungkin memakan waktu beberapa minggu. Bagian terburuk adalah bahwa beberapa perangkat mungkin tidak akan pernah menerima pembaruan keamanan, "kata Leon.

Apa Bisa Terjadi

Hacker bisa mendapatkan kontrol penuh dari ponsel atau tablet dengan memanfaatkan kerentanan ini. Yang dapat mengakibatkan hilangnya data pribadi, serta ketidaknyamanan besar.

"Ini adalah serangan yang menarik tetapi sulit untuk melaksanakan dengan skala apapun," kata Cameron Camp, sebuah resercher dengan Eset.

"Ada beberapa contoh untuk menunjuk ke dalam alam liar sekarang, karena akan mengambil penyerang khusus dengan ponsel target spesifik versi tertentu, dan kemudian penyerang akan harus menghabiskan beberapa waktu terganggu dengan perangkat," katanya kepada LinuxInsider .

Dapat dikaatakan, konsekuensi bagi pengguna yang ditargetkan bisa lebih besar, kata LaunchKey's Leon. Seorang hacker yang berhasil mendapatkan perangkat unpatched bisa melewati lockscreen sama sekali, sehingga mendapatkan akses ke semua data pada perangkat - termasuk aplikasi, kontak, email, pesan teks, foto, dll

Pencegahan Beats Cure

Pengguna perangkat mobile harus mengambil tiga langkah penting untuk melindungi diri terhadap kerentanan, kata Xu Xin, kepala ahli keamanan mobile di 360 Total Security.

Mereka harus menjaga sistem diperbarui dengan versi terbaru. Mereka harus menginstal perangkat lunak antivirus dan menjaga database virus diperbarui secara real time, memindai ponsel mereka secara berkala. Juga, mereka harus menutup fungsi USB debugging, kata LinuxInsider.

Jangan berhenti di situ, Leon menyarankan,pengguna perlu untuk mengetahui apakah versi mereka dipengaruhi dengan pergi ke bagian Pengaturan layar.

"Jika versi 5.0 cocok untuk 5.1.1 pada perangkat non-Nexus, maka mereka mungkin rentan. Jika tidak yakin, mereka perlu memeriksa dengan produsen atau operator untuk melihat apakah patch terbaru terpasang, atau jika ada  yang gagal, "katanya, mencatat bahwa cara yang paling cepat untuk melindungi diri adalah dengan beralih dari password untuk PIN atau kunci layar berbasis pola.

Jack M. Germain telah menulis tentang teknologi komputer sejak hari-hari awal Apple II dan PC. Dia masih memiliki asli IBM PC-Jr dan warisan lainnya beberapa DOS dan Windows kotak nya. Dia meninggalkan program shareware belakang untuk dunia open source dari desktop Linux. Dia menjalankan beberapa versi Windows dan Linux OS dan sering tidak bisa memutuskan apakah akan mengambil tablet nya, netbook atau smartphone Android daripada menggunakan desktop-nya atau gigi laptop. Anda dapat terhubung dengan dia di Google+
Tagged
Different Themes
Written by Templateify

Aenean quis feugiat elit. Quisque ultricies sollicitudin ante ut venenatis. Nulla dapibus placerat faucibus. Aenean quis leo non neque ultrices scelerisque. Nullam nec vulputate velit. Etiam fermentum turpis at magna tristique interdum.

0 comments

Subscribe to: Post Comments (Atom)